По Сети с угрожающей скоростью распространяется новый червь Blaster (так его назвали специалисты Symantec), известный также под кодовыми именами Lovsan (McAfee), Poza (CA) и MSBLAST (Trend). О появлении подобного вредоносного кода неоднократно предупреждали специалисты. Blaster использует «дыру» в операционных системах Windows NT/2000/XP и Windows 2003 Server, обнаруженную около 3 недель назад.

Первые сообщения об обнаружении червя Blaster появились 11 августа примерно в 23 часа по московскому времени. Интернет-червь использует для распространения уязвимость в службе Microsoft Windows DCOM RPC. Данная «дыра» позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Используя данную уязвимость, червь может распространяться самостоятельно, без вмешательства пользователя. По данным экспертов, вирус пока еще не вызвал серьезных сбоев в Сети, но угроза такого исхода сохраняется из-за его быстрого распространения.

По словам специалистов "Лаборатории Касперского", опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - отметил Евгений Касперский.

Признаками заражения компьютера являются:

- наличие файла msblast.exe в каталоге windows\system32; - cообщение об ошибке (RPC service failing), приводящее к перезагрузке системы.

При запуске червь просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь пытается установить удаленное соединение и посылает на уязвимый компьютер специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя Blaster MSBLAST.EXE. После успешной загрузки этот файл регистрируется в секции автозагрузки системного реестра Windows (каталог %WinDir%\system32) и запускается на выполнение.

Червь создает в системном реестре ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! Bill

Благодаря фразе I just want to say LOVE YOU SAN! («Просто хочу сказать: любите свои SAN (системные сети)») червь получил одно из своих названий – Lovsan. Кроме того, в коде червя найдено послание, адресованное Биллу Гейтсу: "billy gates why do you make this possible? Stop making money and fix your software!" («Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!»).

В качестве побочного действия новый червь содержит функцию DDoS-атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows, в том числе, обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

Для защиты от червя специалисты в области информационной безопасности рекомендуют загрузить последнее обновление своего антивируса, провести сканирование и удалить все обнаруженные подозрительные файлы, а также установить «заплатку» от Microsoft и заблокировать порты 135, 69 и 4444 для предотвращения проникновения червя на компьютер.